Sichere Testweise für offene Ports

[Urben]

Hallo,

Ich nutze einen VPN mit dem ich einen zufälligen Port zeitweise geöffnet bekomme. Da ich aber Probleme habe diesen Port zu nutzen frage ich mich, ob das Öffnen des Ports wirklich funktioniert hat.
Ich habe von Netzwerken nicht wirklich viel Ahnung und besitze auch keinen Server zum testen. Diesen Webseiten und Bloatwares mag ich nicht wirklich vertrauen was das angeht, selbst wenn ich weiß dass der Port offen ist zeigen die zum Teil was falsches an.

Gruß, Urben

 

[HominiLupus]

Versuche dich via telnet mit dem Port zu verbinden, zumindest wenn es ein TCP Port ist. Ein UDP Port kannst du nicht testen.

 

[Urben]

Habe vergessen zu erwähnen, nutze Windows 7.

Habe mich kurz eingelesen, ich benötige wohl einen Ziel Server zum testen durch telnet, den ich derzeit nicht habe.

 

[FranzvonAssisi]

Na ich nehme an der Rechner, auf dem der Port geöffnet wird, ist dann der Zielserver

 

[Urben]

also telnet an mich selbst? Nehm ich da die öffentliche IP meines VPN Servers?

 

[chrigu]

es gibt viele online-tests für offene ports (die www-suchmaschine deines vertrauens findet diese). bitte benutz sowas statt irgendwas "unbekanntes" zu versuchen.

 

[Raijin]

Wie nutzt du denn das VPN?

Ich frage deshalb, weil es einen Unterschied macht ob du von zu Hause auf ein externes VPN gehst (zB Cyberghost) oder ob du daheim einen VPN-Server betreibst, auf den du von außen (zB vom Kumpel, Hotel, Café, etc) zugreifen willst. Einerseits reden wir über ausgehende Ports, andererseits über eingehende Ports. Da du mehrmals erwähnst, dass du "keinen Server" hast, ist es fraglich worüber wir jetzt reden, weil es sich nämlich schon nach einem heimischen VPN anhört, das aber zwangsläufig einen Server voraussetzt - auch wenn es "nur" der Router (zB Fritzbox) ist, der das VPN hostet (also VPN-Server spielt).



Was willst du genau testen?

Wenn du einen VPN-Server in deinem Netzwerk betreibst (zB ein NAS), dann muss im Internetrouter eine oder mehrere entsprechende Portweiterleitung(en) eingerichtet sein. Verbindungen von außen auf die öffentliche IP und diesen Port werden dann 1:1 zB an das NAS weitergereicht. Das wäre die erste Sache die man testen könnte. Allerdings funktioniert das nur, sofern man überhaupt von außen auf die öffentliche IP kommt. Bei Kabelinternet hat man beispielsweise nur noch selten eine eigene IPv4 und teilt sich diese mit anderen Kunden => keine Portweiterleitung möglich, beim heimischen Router kommt also gar nicht erst eine Verbindungsanfrage an.

Gesetzt den Fall man IST von außen erreichbar (zB Kabelinternet mit freigeschalteter eigener IP oder DSL), dann geht's einen Schritt weiter, zum Ziel der Weiterleitung, dem NAS (o.ä.). Das Ziel (NAS) muss diesen Ports selbstverständlich auch benutzen, das heißt es muss dort eine Anwendung laufen, die auf diesem Port lauscht. Ist das nicht der Fall (zB VPN-App am NAS abgeschaltet), wird der Verbindungsversuch von außen zwangsläufig ins Leere laufen und der VPN-Client meldet "Server nicht erreichbar" (o.ä.)


Fazit: Es gibt mehrere Fehlerquellen und verschiedene Testmöglichkeiten, je nach Situation. Beschreibe daher bitte genauer was du überhaupt zu erreichen versuchst, wie dein aktuelles Setup ist, mit welchen Geräten du arbeitest (Router, etc) und bei welchem Provider du bist.

 

[Urben]

Ich möchte für ein Onlinespiel als Host fungieren und muss dabei einen Port freigeben.

Der VPN Server ist ein externer Anbieter, der einer auf meinem Rechner installierten Software funktioniert. Der VPN Tunnel geht dabei komplett durch den Router, ich sollte daher beim Router keine Einstellungen vornehmen müssen, richtig?

Nur möchte ich bis zum nächsten Spiel das zum laufen gebracht haben, habe bis dahin keine Person zur Hand um die Funktionalität vom Hosting zu testen. Um sicher zu gehen dass die derzeitige Fehlerquelle nicht beim VPN liegt will ich testen ob ein bestimmter Port offen ist.

Wenn ich die telnet Funktion richtig verstanden habe benötige ich einen externen Server, mit dem ich auf meinem Computer - durch VPN und Port - eine Anfrage schicke. Oder habe ich das falsch verstanden?

 

[Raijin]

Und was haben Onlinespiel und VPN miteinander zu tun?

Wenn du einen externen VPN-Server nutzt - zB Cyberghost - dann baut dein PC über einen Software-Client einen VPN-Tunnel zum VPN-Anbieter auf. Über diesen kannst du ausgehende Verbindungen leiten. Das wäre beispielsweise ein Download, der durch einen ausgehenden Download-Request gestartet wird. Ein Webseiten-Aufruf ist prinzipiell dasselbe. Der PC schickt eine Anfrage über das VPN zum Webserver und dieser antwortet über das VPN mit der Webseite/dem Download.

Betreibst du allerdings selbst einen Server - zB ein Onlinespiel - dann funktioniert das so nicht. Bei einer akiven VPN-Verbindung ist der Übergang ins Internet sogesehen nicht der heimische Router, sondern das VPN-Gateway des Anbieters. Dort müsste eine Portweiterleitung eingerichtet werden was aber mangels Adminrechten nicht möglich ist. Die WAN-IP, die man über das VPN bekommt bzw. sieht, wenn man zB ping.eu aufruft, ist die WAN-IP des VPN-Anbieters, die man sich mit Dutzenden/Hunderten von anderen VPN-Kunden teilt. Das ist im Prinzip nichts anderes wie der Router zu Hause, nur größer. Viele PCs gehen über dieselbe WAN-IP online (= NAT). Im heimischen Router kann man das NAT mit definierten Portweiterleitungen .. .. sagen wir mal überlisten. Beim VPN-Router, der in irgendeinem Datacenter quer über den Erdball verteilt steht, hat man diese Möglichkeit leider nicht.

Wenn du den Gameserver bei dir im Netzwerk über ein VPN zugänglich machen wilst, dann solltest du so vorgehen:

Installiere einen VPN-Server auf dem Rechner, zB OpenVPN. Richte im Internetrouter eine Portweiterleitung für den/die VPN-Ports ein (zB UDP 1194). Auf dem Client-PC, der auf deinem Server spielen will, installierst du den VPN-Client und lässt diesen mit deinem VPN-Server eine Verbindung herstellen. Entweder direkt über deine WAN-IP oder über einen DDNS-Account (zB meinserver.no-ip.com). Anschließend kann der Client-PC über den VPN-Tunnel direkt auf deinen Spieleserver im Netzwerk zugreifen.
Je nachdem muss man natürlich noch das Routing sowie NAT auf dem VPN-Server einrichten. Das kommt am Ende auf das endgültige Setup an.

 

[Urben]

Betreibst du allerdings selbst einen Server - zB ein Onlinespiel - dann funktioniert das so nicht. Bei einer akiven VPN-Verbindung ist der Übergang ins Internet sogesehen nicht der heimische Router, sondern das VPN-Gateway des Anbieters. Dort müsste eine Portweiterleitung eingerichtet werden was aber mangels Adminrechten nicht möglich ist.

Doch ist es. Das ist eine Funktion des VPN Anbieters einen zufälligen Port temporär öffnen zu lassen und mir mitzuteilen welcher Port es ist. Und ob das funktioniert will ich gerade ja testen.

 

[Raijin]

Einen zufälligen Port? Dann muss man als Client jedes Mal rausfinden welcher Port aktuell ist und diesen dann aktiv in die Verbindung einpflegen? Seltsam....

Wenn du nur schauen willst ob überhaupt etwas reinkommt, kannst du Tools wie WireShark benutzen. Das ist ein Netzwerksniffer und damit kannst du sämtliche Datenpakete sehen, die an der Netzwerkschnittstelle des Rechners ankommen. Je nach Router kann man sowas dort ebenfalls bewerkstelligen, aber dazu benötigt man weitestgehend vollen Zugriff auf das OS des Routers - zB bei OpenWRT-Routern. Dort läuft effektiv ein Linux und man kann ebenfalls Netzwerkdaten mitloggen. So kann man herausfinden ob überhaupt etwas ankommt.

 

[Urben]

Das mit dem jedesmal rausfinden ist nicht schlimm, da ich die Zugangsdaten eh mit jeder Session an meine Mitspieler schicken muss.

Ich werde mal Wireshark ausprobieren, danke.

 

[Raijin]

Trotzdem: Warum richtest du nicht einfach einen OpenVPN-Server bei dir ein? Jeder der mitspielen will bekommt einen Client nebst eigenem Zertifikat, verbindet sich mit deinem VPN und dann geht's los. Funktioniert sogar direkt mit der LAN-IP des Servers (korrekte Routen im VPN-Client vorausgesetzt).

Mit tunngle müsste das sogar noch einfacher sein, habe ich aber selbst nie eingesetzt.